パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「どうすればFirefoxを信じられる?」の件がやっと対処」記事へのコメント

  • by Anonymous Coward on 2005年02月27日 23時23分 (#700595)
    >インストーラに(PKIを用いた)コード署名がなされていないので、
    >ダウンロードする人にとってスパイウェアと見分けがつかない
    プリンタドライバインストするのにも、署名が無いって警告に平気で
    了承しているユーザーの立場は…
    • プリンタドライバインストするのにも、署名が無いって警告に平気で 了承しているユーザーの立場は…
      その署名はまたちょっと別の話です。CD-ROMからWindows XPにドライバをインストールするときに出る警告のことですよね? それは、Microsoftが認定したドライバかどうかを確認している画面で、ニセの認定証を作られないためにPKIの仕組みが使われているだけであって、ここで言うセキュリティの話とはまた別です。CD-ROMで入手しているのなら、CD-ROMの配布者が提供しているドライバであることは、署名がなくても信じることはできるでしょう。

      その話ではなく、インターネット経由でドライバをダウンロードできるようになっている、プリンタメーカーとかパソコンメーカーとかが最近多いわけですが、こちらが未署名の .exe ファイルで配布されているというのは、よろしくないですね。

      証明書は1社に1枚しかいらないのだから、証明書購入費用は企業にとってはゴミみたいなもののはずなので、なぜ署名しないのか理解できません。署名する手間にコストはかかりそうですが、リリース前の最終チェックでチェック済みだと判子を押すセレモニーのつもりで、電子署名すればよいわけで、本来あるべき姿ですね。

      どのパソコンメーカー、デバイスメーカーは署名していて、どこは署名していないといったリストを作るといいですね。 おおむね外資系は署名しているけれど、日本の会社は署名していないところがかなり多いという印象があります。ちょっと調べたところでは、VAIOのインストーラ [sony.co.jp] は署名されていますが、パナソニックPCのインストーラ [panasonic.biz] は署名されていませんでした。他はどうですか。

      ちなみに、最近、電子申請システムとかで中央官庁や地方自治体の多くが .exe ファイルを配布しているのですが、署名されたものがみあたりません。いくら GPKI [gpki.go.jp] だの LGPKI [lgpki.jp] だの JPKI [jpki.go.jp] だのとガチガチの安全を構築したかのように主張したところで、配布物が署名されていないんでは根こそぎ台無しです。電子政府作ってる奴らはバカばっかりです。

      親コメント
      • その署名はまたちょっと別の話です。
        #補足しますね。
        今回の元ネタである、ドライバをインストールする際に表示される「Windows ロゴ テストに合格していません」ダイアログを表示させたくない場合「ドライバ署名」という今回とは別の署名が必要になります。

        このドライバ署名を取得するには証明書以外に Microsoft 社の外郭団体である WHQL のロゴ要件 [microsoft.com]を満たし、かつ HCT(Hardware Compatibility Test) に合格する必要があります。詳細な手順については MS のロゴ プログラム [microsoft.com]のテストに記載されています。ちなみに HCT は結構厳しいテストを Hardware/Driver に課するのでドライバ署名取得目的以外でもお勧めしたいテストツールです。

        ということでドライバ署名は簡単に取得できません。

        ドライバ署名を取得したからといって動作の保障をしてくれるわけではありませんが、外部団体(WHQL)から動作確認を行ってもらった証にはなるかもしれません。
        未署名の .exe ファイルで配布されているというのは、よろしくないですね。
        上記の場合、Authenticode 対応 Digital ID を取得すれば、後は自社でバシバシ署名するだけで、コストは Digital ID 取得分という理解で問題無いですよね?
        --
        Mc.N
        親コメント
      • 今回Mozilla Foundationが証明書を購入(?)した様ですが、
        その証明書はMozilla Japanによるものを含め
        各国語にローカラライズされたプログラムにも有効なのでしょうか?

        サーバー証明書ならば、各国の各サーバー毎に必要という事でよいですか?

        全く的外れな事言ってますかね… (汗

        知っている方が居たらお教え戴きたいです m(_ _)m 。

        #恥ずかしいけどID
        #after9 は magic9

        親コメント
      • 言いたいことは理解できますが、日本の大きな企業だとこのような署名の取り扱いルールを作成・運用するだけでそれなりのコストが必要になります。

        中には中の事情がある場合があるでしょう。批判をする前に要求してみたら如何ですか?
    • by tokushima (155) on 2005年02月28日 0時17分 (#700625)
      最近セキュリティに異常に厳しくなったのに、
      標準ソフトやドライバのインストール手順に
      「警告がでますが、"はい"を押して次にすすでください」
      なんて書いてあるうちに会社の立場は・・・。
      --
      It's not who is right, it's who is left.
      親コメント
    • by sorya (25160) on 2005年02月28日 1時14分 (#700657)
      オリジナル(改変されて無い)かどうかだけではなく、OSとの互換性テスト [microsoft.com]を
      通過してるかどうかのWHQL [e-words.jp]の署名となると、情状酌量しないでもなく…
      親コメント

ソースを見ろ -- ある4桁UID

処理中...